Aviso sobre amenazas de ciberseguridad:
Share
SonicWall y Palo Alto presentan complicaciones.
Se descubrieron vulnerabilidades en SonicWall NetExtender, CVE-2024-29014 y Palo Alto GlobalConnect, CVE-2024-5921, que pueden provocar la ejecución remota de código.
¿Cuál es la amenaza?
Las vulnerabilidades presentan un comportamiento similar, ya que dependen de que el usuario se conecte a un servidor malicioso. Para aprovechar esto, los atacantes deben convencer al usuario de que cambie su conexión al servidor VPN o haga clic en un enlace que contenga la URL maliciosa del software VPN, a continuación, se describen de forma general las vulnerabilidades:
- CVE-2024-29014: La vulnerabilidad afecta a las versiones 10.2.339 y anteriores del cliente de Windows SonicWall SMA100 NetExtender. Permite a un atacante ejecutar código arbitrario al procesar una actualización del cliente de End Point Control (ECP).
- CVE-2024-5921: Se trata de una vulnerabilidad de validación de certificado insuficiente que afecta a Palo Alto Networks GlobalProtection para Windows, macOS y Linux. Permite que la aplicación envíe contenido a servidores arbitrarios, lo que puede provocar la implementación de software malicioso.
¿Por qué es de relevancia?
Se lanzo una nueva herramienta de ataque de prueba de concepto (PoC) de código abierto. NachoVPN, para simular la explotación de estas vulnerabilidades para lograr una ejecución de costos privilegiada. Esto brinda a los atacantes un acceso fácil para aprender como explotar estas fallas y una nueva herramienta para realizar su propia investigación sobre otras vulnerabilidades de clientes VPN en el futuro.
Además, CVE-2024-5921 se informo por primera vez en abril de 2024 y todavía esta activo en la actualidad. Como estas vulnerabilidades se derivan de una verificación de certificados incorrecta, estas vulnerabilidades deberían haberse abordado en el código fuente durante las evaluaciones de seguridad anteriores.
¿Cuál es el riesgo?
A diferencia de la mayoría de las vulnerabilidades relacionadas con las VPN, estas afectan al cliente en lugar de al servidor. Como resultado, mucho de los controles de seguridad estándar aplicados a los servidores VPN no serán efectivos. Además, el xploit se distribuye través de ingeniería social, y se dirige al usuario final. Esto genera mas complejidad para remediar las vulnerabilidades.
Los clientes configurados para aceptar cualquier servidor son particularmente vulnerables, ya que carecen de restricciones como aceptar solo direcciones IP específicas, nombres DNS o permitir la entrada del usuario. Las versiones afectadas incluyen todas las versiones de macOS y Linux, así como las versiones de Windows anteriores a la 6.2 y las 6.3 y posteriores.
Recomendaciones
Se recomienda que las organizaciones tomen medidas para reducir el riesgo de explotación y proteger su infraestructura critica:
- Limite la capacidad del usuario para elegir el punto final de la VPN
- Restrinja la capacidad de la aplicación para comunicarse con otros servidores a través del firewall del host.
- Limite la capacidad de ejecutar código no confiable.
Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:
- Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
- Teléfono: +52(55)5599-0691
- Correo de contacto: ventas@cobranetworks.lat
JR